本发明专利技术披露了一种用于检测由恶意软件程序或计算机病毒引发的蔓延的系统、方法和计算机程序产品。自动地执行本地的和全球蔓延的检测。基于所收集的统计信息计算和分析蔓延的源头。预测蔓延的传播并且对时间帧和蔓延传播的地理区域做出准确预后。基于“联接强度”系数的计算值做出预后。联接强度系数反映了国家之间的信息交换量(即,联接通道的数目和质量)。在蔓延初期检测蔓延并且及时地监视它的传播以及在不同国家的繁殖。然后,及时地调用有效的安全和保护措施。
【技术实现步骤摘要】
本专利技术涉及反恶意软件
,更具体地,涉及与计算机病毒相关的蔓延 (epidemic)的检测和预防。
技术介绍
病毒和恶意软件的检测已经成为贯穿个人计算机时代需要考虑的事情。随着例如 因特网等通信网络的增长和数据交换的日益增加,包括用于通信的电子邮件的使用的迅速 增长,计算机通过通信或文件交换的传染成为一个日益重要的考虑因素。传染采取各种形 式,但是一般和计算机病毒、木马程序或其它形式的恶意代码(即,恶意软件)相关。近来,以电子邮件为媒介导致的病毒攻击事件,无论在传播的速度还是破坏的程 度上都是巨大的,并且互联网服务提供商(ISP)和企业遭受着服务的问题和电子邮件能力 的损失。在许多情况下,试图充分地防止文件交换或以电子邮件为媒介导致的传染给计算 机用户带来严重的不便。因此,期望出现用于检测和应对病毒攻击的改进的策略。一种用于检测病毒的常规方法是签名(signature)扫描。签名扫描系统使用从已 知的恶意软件代码中提取的样本代码模式,并且在其它程序代码中扫描这些模式的出现。 签名扫描方法的主要限制在于仅能检测已知恶意代码,也就是说,只有和已存储的已知恶 意代码的样本签名相匹配的代码才能被识别为受到传染。所有的病毒或以前没有识别出的 恶意代码以及在最后更新签名数据库的日期之后创建的所有的病毒或恶意代码都不会被 检测出来。此外,如果签名没有以预期的方式排列在代码中,那么签名分析技术无法识别病 毒的存在。替代地,病毒的作者可能通过操作码置换,或将伪代码(dummy code)或随机代 码插入到病毒功能中来掩盖病毒的特征。无意义的代码将病毒的签名改变成足以使签名扫 描程序无法检测到病毒的存在,但并没有减少病毒传播和输送其有效载荷的能力。另一种病毒检测策略是完整性校验。完整性检测系统从已知的、良性的应用程序 代码中提取代码样本。代码样本和来自程序文件的信息,例如可执行程序的首部和文件长 度以及样本的日期和时间戳,一同储存。每隔一定间隔,程序文件就对此数据库进行校验, 以确保程序文件不被修改。一种有效的常规方法是使用所谓的白名单,即已知“干净”的软件组件、链接、程 序库和其它干净的对象的列表。可以使用哈希值将可疑对象和白名单进行比较。例如,在 TO/2007066333中披露了哈希值的使用,其中,白名单由已知干净应用程序的哈希值组成。 在TO/2007066333中,计算校验和,并将其和已知的校验和相比较。然而,病毒检测在计算机系统中仅是任务的一部分。更重要的是检测可以传染成 百上千的计算机的蔓延的潜在性。第20080134335号美国专利申请中披露了一种用于确定 检测到的病毒的潜在传播的方法。然而,其发生在病毒已经开始传播之后并没有预防蔓延。在公开号为20060259967的美国专利和公开号为20060236392的美国专利中披露 了一种用于基于某些事件的活跃度来检测恶意软件的方法。一旦达到活跃性阈值,就实施 安全措施。专利号为US7418732的美国专利披露了一种用于处理网络包以便防止在网络内 传播恶意软件的方法。在公开号为20090064332的美国专利中,披露了一种用于检测恶意 软件威胁的源头以及确定潜在危险的级别的方法。此外,在公开号为20060070130的美国 专利中,披露了一种用于在一旦检测到恶意软件时就确定恶意软件来源的方法。然而,当大量计算机系统和整个网络非常迅速被感染时,常规的系统不能提供对 蔓延的有效检测和预防。应当认识到,期望出现用于计算机病毒相关的蔓延的检测和预防的改良的技术。 因此,本领域需要一种满足蔓延的检测及预测的需求的系统和方法。
技术实现思路
本专利技术旨在提供一种用于检测及预测与恶意软件相关的蔓延的系统和方法,所述 系统和方法基本上消除了现有技术中的一个或几个缺陷。本专利技术一方面提供一种用于检测由恶意软件程序或计算机病毒引起的蔓延的系 统、方法和计算机程序产品。根据示例性实施例,自动执行本地和全球蔓延的检测。基于收 集到的统计信息计算和分析蔓延的源头。然后,预测蔓延的传播并且做出准确的关于时间 帧和传播的地理区域的预后。基于“联接强度”系数的计算值做出预后。联接强度系数反 映了国家之间的信息交换量(即,联接通道的数目和质量)。示例性实施例的方法,基于恶意软件程序在世界上的已知活跃度自动地检测蔓 延。计算引发蔓延的恶意软件的源头。产生与蔓延的发展有关的预后。主要目标是在蔓延 的初期阶段检测蔓延并且及时地并在不同国家监视它的传播。因此可以及时地调用有效的 安全和保护措施。在产生蔓延预后之后,可以发布紧急更新。这样的更新可包括链接,所述 连接链接包含对引起蔓延的恶意软件威胁的所有不同种类的变型。本专利技术额外的功能和优点将在如下的说明中阐述,还有部分通过描述是显而易见 的,或由本专利技术的实践可以得知。通过在书面的描述、权利要求书和附图中一同指出的结 构,将实现并获得本专利技术的优点可以理解的是,无论是上述的总体描述还是如下的详细描述都是示例性和解释性 的,并且旨在提供对要求权利的本专利技术进一步的解释。附图说明附图提供对本专利技术进一步的理解,并且并入此说明书中并构成其中的一部分,这 些附图示出了本专利技术的实施例并与描述一起用于解释本专利技术的原理。附图中图1示出了根据示例性实施例的用于恶意软件检测和分析的系统。图2示出了根据示例性实施例的方法的流程图。图3示出了根据示例性实施例的联接强度系数的示例。图4示出了根据示例性实施例的反映活跃性尖峰检测的示例性曲线图。图5示出了根据示例性实施例的反映蔓延检测的示例性曲线图。图6示出了根据示例性实施例的反映蔓延预后的示例性曲线图。图7示出了可以实施本专利技术的示例性计算机系统的示意图。具体实施例方式现在,将对根据本专利技术的优选实施例进行详细描述,其示例性曲线图示于附图中。根据示例性实施例,提供了一种用于检测及预测与恶意软件相关的蔓延的方法、 系统和计算机程序产品。本专利技术一方面提供一种基于恶意软件程序在世界上的已知活跃度 来自动地检测蔓延的方法。基于统计数据来计算引起蔓延的恶意软件的源头。然后,产生 关于蔓延的发展的预后(prognosis)。根据示例性实施例,在蔓延的初期阶段检测蔓延并且及时地且在不同地区全面监 视蔓延的传播。高效且及时地调用有效的安全和保护措施。在产生蔓延预后之后,可以发 布紧急更新。这样的更新可包括带有引起蔓延的威胁的各种变型的链接。如果蔓延是由利 用系统脆弱性的网络蠕虫引起的,则可以向全部用户发出通告。所述通告包含用于针对蠕虫进行保护的方法。所述保护的方法包括补丁和配置修 改。如果恶意软件防止反病毒应用程序的执行,那么可以给用户提供特殊的治疗应用程序。 根据示例性实施例,蔓延检测的原理是基于收集和分析统计数据。实时地计算各种对象的 活跃性。活跃性包括程序的启动、计算机攻击(例如服务攻击的拒绝),对利用系统安全性 的弱点的明显尝试、文件下载等等。基于与上述提及的活跃性相关的统计数据,计算潜在的 蔓延源的活跃值。根据示例性实施例,蔓延检测是基于针对恶意软件的源头计算的活跃性。根据计 算值,系统确定是否确实发生蔓延。如果特定国家中的活跃值超过国家阈值,那么检测到蔓 延的开始。在示例性实施例中,按照至少四个活跃性参数,S卩,S-应用程序启动的数本文档来自技高网...
【技术保护点】
一种用于检测恶意软件蔓延的方法,所述方法在具有处理器和存储器的计算机上执行,所述方法包括:(a)检测与恶意软件相关的威胁;(b)基于所述威胁的参数计算该威胁的活跃值;(c)基于已知的威胁活跃性的爆发为所述威胁活跃性爆发设置阈值;(d)基于已知的蔓延为威胁活跃性蔓延设置阈值;(e)将所述威胁活跃值和所述威胁活跃性爆发阈值相比较;(f)如果所述威胁活跃性超过了所述威胁活跃性爆发阈值,则将所述威胁活跃值和所述威胁活跃性蔓延阈值相比较;(g)如果所述威胁活跃性超过了所述活跃性蔓延阈值,则在选择的时间段监视所述威胁活跃性;和(e)如果所述威胁活跃性在所述预设的时间段持续地超过所述活跃性蔓延阈值,则检测到恶意软件蔓延。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:尤里V马斯艾维斯基,尤里V纳梅斯尼科夫,尼古拉V丹尼斯切卡,帕维尔A泽伦斯基,
申请(专利权)人:卡巴斯基实验室封闭式股份公司,
类型:发明
国别省市:RU[俄罗斯]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。